Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Некоторые вендоры крадут патчи высокой критичности, которые устраняют другие проблемы и не объявляют об ошибке. Позже они официально рассказывают об уязвимости и выпускают патч. К тому времени, благодаря более раннему патчу, ошибка уже исправлена на большинстве компьютеров. Один очень популярный поставщик ОС однажды создал критическое исправление за несколько месяцев до других патчей. Для реверсивных инженеров это выглядело как необъяснимые сегменты кода, но как только трехмесячные патчи были применены, они закрыли огромную дыру, оставив клиентов счастливыми, а хакеров – разочарованными.

В конце концов, хорошее управление патчами означает одно: своевременное и последовательное исправление наиболее часто используемых программ. Это легко сказать, но трудно сделать. Мой совет – включить все автоматические патчи или использовать авторитетную программу управления ими, которая может обрабатывать все ваши потребности обновления ПО (и оборудования тоже, если это возможно); и пусть критические исправления безопасности будут применяться в течение нескольких дней. Если вы исправите уязвимость за пару дней, то станете одним из самых защищенных в Интернете. Идеальный патч может быть нелегким, но исправление критических уязвимостей наиболее часто используемых программ необходимо на любом компьютере. Не делать этого значит буквально просить хакеров атаковать вас.

В следующей главе представлен профиль Уиндоу Снайдер, женщины, ответственной за помощь некоторым из крупнейших компаний в мире по исправлению уязвимостей.

Вначале Уиндоу Снайдер работала директором по архитектуре безопасности в @Stake. Это была крупная компания, занимающаяся ИБ и поиском уязвимостей, которая создала или приобрела больше, чем множество компьютерных суперзвезд. Компания была приобретена Symantec в 2004 году. Снайдер начала работать в Microsoft в 2002 году и была старшим стратегом в области безопасности в группе безопасности и коммуникаций. Она внесла свой вклад в жизненный цикл разработки SDL и создала новую методологию программного обеспечения для моделирования угроз. Она также была лидером безопасности в Microsoft Windows Server 2003 и Windows XP Service Pack 2, которая была первой серьезной попыткой Microsoft создать по умолчанию безопасную операционную систему. Она координировала работу консалтинговых служб безопасности и отвечала за стратегию работы сообщества в сфере ИБ.

Она присоединилась к Mozilla в 2006 году и носила ироничный титул «начальник Службы безопасности того или другого» вместо более формального «главного сотрудника Службы безопасности (CSO)». Помню, многие из нас завидовали этому титулу. В конце концов, она стала работать старшим менеджером по продуктам безопасности в Apple, разрабатывая стратегию безопасности и конфиденциальности и функции для iOS и OS X. Сегодня она работает на Fastly (https://www.fastly.com/), сеть доставки контента, которая быстро расширяется на другие сферы, такие как информационная безопасность. Отец Снайдер – американец, а мать родом из Кении. Снайдер стала соавтором книги Threat Modeling (https://www.amazon.com/Threat-Modeling-Microsoft-Professional-Swiderski/dp/0735619913/) совместно с Франком Суидерски. Она единственный человек, которого я знаю лично, кто работал в трех из четырех крупнейших компаниях, предоставляющих очень популярные браузеры и программное обеспечение. Она, так сказать, стояла у истоков.

Я был обязан начать наше интервью с вопроса об ее имени. Она рассказала: «Я могу поделиться с вами историей о том, как работала в Microsoft. Тогда, по умолчанию, адреса электронной почты большинства людей начинались с их имени, за которым следовал последний инициал. Но большая группа рассылки, группа продуктов Windows, уже имела слово Windows в адресной строке (что было бы в адресе моей электронной почты, если бы я оставила ее по умолчанию). На протяжении долгих лет многие пытались отправить мне что-то личное или конфиденциальное… Возможно, речь шла о вредоносном ПО или новом отчете об уязвимости. Но вместо того чтобы отправить его мне, они случайно посылали его в одну из наших крупнейших групп рассылки по электронной почты».

Потом я спросил ее, как она попала в сферу ИБ. Она сказала: «Я изучала информатику и заинтересовалась криптографией и криптоанализом. Я увлеклась идеей секретов, связанных сложностью математической задачи. Это было примерно в то же время, когда я впервые получила доступ к многопользовательским операционным системам. Я начала думать о границах безопасности между различными пользователями и процессами, а также о том, что препятствует им вмешиваться в чужую программу или ОС. Я обнаружила, что тогда в лучшем случае были полупроницаемые барьеры. Это было весело, как разбирать головоломку или машину и выяснять, как она работает. Захватывающая работа!»